Was ist Firewall-as-a-Service (FWaaS)?

Zu einem Abschnitt springen

Wie funktioniert Firewall-as-a-Service? Warum ist FWaaS wichtig? Was sind die Hauptmerkmale von FWaaS?

Deep Packet Inspection und Intrusion Prevention DNS- und URL-Filterung Zentrale Verwaltungskonsole Transparenz und Protokollierung Skalierbarkeit und elastische Kapazität Integration mit modernen Netzwerken Vom Anbieter verwaltete Infrastruktur

Welche Vorteile bietet FWaaS? Welche potenziellen Herausforderungen birgt FWaaS? FWaaS vs NGFW FWaaS vs SWG Welche Rolle spielt FWaaS in SASE? Wie geht Netskope bei der Implementierung von FWaaS-Lösungen vor? Frequently asked questions

Was ist eine Firewall? Was ist eine Cloud-Firewall? Wo ist FWaaS im Netzwerk angesiedelt? Kann FWaaS VPN oder SD-WAN ersetzen? Was ist bei der Auswahl von FWaaS zu beachten?

Wie funktioniert Firewall-as-a-Service?

FWaaS funktioniert, indem ausgehender Netzwerkverkehr über einen Cloud-Firewall-Dienst geleitet wird, wo Sicherheitsrichtlinien angewendet und eine Überprüfung durchgeführt wird, bevor der Datenverkehr Websites, Apps oder Cloud-Dienste erreicht. Anstatt Firewall-Appliances an jedem Standort einzusetzen und zu verwalten, leiten Unternehmen den Datenverkehr an einen Cloud-basierten Durchsetzungspunkt in der Nähe des Benutzers oder der Zweigstelle weiter und verwalten die Richtlinien zentral.

Der Datenverkehr wird an den Cloud-Firewall-Dienst
weitergeleitet . Benutzer und Zweigstellen senden Datenverkehr an die Firewall in der Cloud (oft über Clients oder Tunnel).
Richtlinien zuerst anwenden
Der Dienst wendet Firewall-Regelsätze an, wie z. B. zulässige IP-Adressen/Ports/Protokolle, Steuerungen der Anwendungsschicht, Benutzer-/Gruppenregeln und FQDN-Zielregeln.
Die Überprüfung läuft auf dem Netzwerkverkehr
Der Cloud-Firewall-Dienst überprüft den ausgehenden Netzwerkverkehr mithilfe von Funktionen wie 5-Tupel-Firewallregeln, Intrusion Prevention (IPS), DNS-Sicherheitsprüfungen und domänenbasierter DNS-URL-Filterung.
Es wird eine Entscheidung getroffen, ob ein Ereignis zugelassen, blockiert, gemeldet oder protokolliert wird.
Basierend auf den Ergebnissen der Richtlinien- und Firewall-Prüfung wird der ausgehende Netzwerkverkehr zugelassen oder blockiert. Außerdem können Benachrichtigungen an die Nutzer gesendet und Ereignisse zur Überprüfung und für Audits protokolliert werden.
Eine zentrale Konsole verwaltet die FWaaS-Richtlinien global.
Administratoren erstellen und aktualisieren Firewall-Richtlinien einmalig und setzen diese anschließend einheitlich für alle Benutzer, Standorte und Cloud-Umgebungen durch.
Protokolle speisen Überwachungs- und Untersuchungsabläufe
Verkehrsprotokolle fließen typischerweise in Überwachungstools und, falls verwendet, in SIEM/SOAR-Plattformen, um die Anforderungen an Erkennung, Untersuchung und Compliance zu unterstützen.

FWaaS ist ein Richtliniendurchsetzungs-Netzwerkausgangskontrollpunkt in der Cloud, der sich zwischen Benutzern oder Zweigstellen und dem gewünschten Ziel der Internet- oder Cloud-Ressourcen befindet.

Warum ist FWaaS wichtig?

FWaaS ist deshalb so wichtig, weil viele Organisationen nicht mehr innerhalb eines einzigen Netzwerkperimeters operieren. Die Nutzer arbeiten von verschiedenen Standorten aus, die Anwendungen laufen in mehreren Clouds, und die Filialen sind direkt mit dem Internet verbunden. Ein Firewall-Sicherheitsdienst hilft Sicherheitsverantwortlichen, die Kontrollen einheitlich zu halten, ohne überall Appliances einsetzen und warten zu müssen oder Datenverkehr umzuleiten und dadurch die Benutzerfreundlichkeit zu beeinträchtigen.

Verteilte Benutzer und Niederlassungen verändern den Perimeter
Der Datenverkehr fließt nicht mehr über ein einziges Rechenzentrum, sodass herkömmliche Netzwerk-Firewalls entweder ein Backhauling des Datenverkehrs erfordern oder Firewall-Appliances oder VMs dort hinzufügen müssen, wo sich die Benutzer und Niederlassungen befinden, was mit hohen Kosten und erhöhter betrieblicher Komplexität verbunden ist.
Die Einhaltung einheitlicher Richtlinien an verschiedenen Standorten ist schwieriger als gedacht.
Wenn jeder verteilte Standort seine eigene Konfiguration hat, können sich Firewall-Regeln im Laufe der Zeit ändern. FWaaS hilft dabei, dieselben Firewall-Richtlinien für Benutzer und Zweigstellen anzuwenden, unabhängig von deren Standort.
Zentralisiertes Management reduziert Lücken und operativen Aufwand.
Eine einzige Steuerungsebene erleichtert die Aktualisierung von Richtlinien, verringert Fehlkonfigurationen und ermöglicht eine schnellere Reaktion bei sich ändernden Bedrohungen oder Geschäftsanforderungen.

Was sind die Hauptmerkmale von FWaaS?

FWaaS bündelt typischerweise Firewall-Richtlinienfunktionen der nächsten Generation in Cloud-Firewall-Dienste, die zentral über eine große Anzahl von Rechenzentren bereitgestellt und verwaltet werden, die sich näher an Remote-Benutzern und Zweigstellen befinden, um ein leistungsstarkes Benutzererlebnis zu gewährleisten. Die meisten Cloud-Firewall-Servicelösungen konzentrieren sich auf konsistente Durchsetzung, Überprüfung in großem Umfang und einfachere Bedienung.

Deep Packet Inspection und Intrusion Prevention

A Cloudbasierte Firewall Untersucht den Datenverkehr jenseits der ersten Paketports und IPs. Es kann Sitzungen über Pakete hinweg untersuchen, riskante Muster erkennen und bekannte Sicherheitslücken oder verdächtiges Verhalten mit IPS-ähnlichen Kontrollmechanismen blockieren. In der Praxis zeigt sich diese Fähigkeit in drei zentralen Steuerelementen:

Überprüfung des Anwendungsschicht-Datenverkehrs (Schicht 7) über verschiedene Pakete hinweg
Erkennen und Blockieren von Sicherheitslücken und gängigen Angriffstechniken
Unterstützung von Richtlinienentscheidungen basierend auf 5-Tupel-Firewallregeln, Anwendungsschicht, Benutzern und Gruppen, FQDNs und Kontext

DNS- und URL-Filterung

FWaaS arbeitet auf den Schichten 3 und 4 zur Überprüfung des Datenverkehrs, einschließlich der Domain Name Service (DNS)-Anfragen auf Port 53. Bei diesen Anfragen handelt es sich um DNS-Abfragen zur Übersetzung einer für Menschen lesbaren Domain (z. B. www.icecube.com) zu einer routingfähigen IP-Adresse. Dies ist ein sehr effizienter Zeitpunkt, um die Domain auf bekannte Sicherheitsrisiken zu überprüfen oder ihre Kategorisierung zu bestätigen. Aus diesem Grund beinhaltet FWaaS häufig DNS-Sicherheitsprüfungen und domänenbasierte Filter für sicherheits- und geschäftsbezogene Kategorien, um zu verhindern, dass Benutzer schädliche oder gegen Richtlinien verstoßende Webseiten erreichen. Diese DNS-Prüfungen und die Kontrolle der Domänenfilterkategorien verringern das Risiko, bevor eine Verbindung vollständig hergestellt ist. In einer Konsole sehen Sie üblicherweise mehrere DNS-Richtliniensteuerungen, wie zum Beispiel:

Die Möglichkeit, DNS-Profile zu definieren
Konfigurierbare domänenbasierte Kategoriefilter (z. B. Glücksspiel, Spiele usw.).
DNS-Prüfungen auf bekannte schädliche Domains oder DNS-basierte Sicherheitsrisiken

Zentrale Verwaltungskonsole

Die meisten Anbieter von Cloud-Firewall-Diensten stellen eine zentrale Konsole zur Verfügung, mit der Firewall-Richtlinien erstellt, getestet und standortübergreifend eingeführt werden können. Dies hilft Sicherheitsteams, Regelabweichungen zu reduzieren und Änderungen schneller umzusetzen. Die meisten Plattformen unterstützen dies durch:

Eine zentrale Stelle zur Verwaltung von Firewall-Regeln und Ausnahmen
Gemeinsam genutzte Objekte, Vorlagen und Richtliniengruppen
Rollenbasierte Zugriffskontrolle für Netzwerk- und Sicherheitsteams

Transparenz und Protokollierung

FWaaS erzeugt konsistente Protokolle über alle Benutzer und Filialstandorte hinweg, was Untersuchungen und Audits erleichtert. Protokolle werden typischerweise in SIEM- und Überwachungstools integriert, um Korrelationen und Warnmeldungen zu ermöglichen. Typischerweise gibt es drei Haupttypen von Protokollen und Ausgaben:

Sitzungsprotokolle für erlaubten und blockierten Datenverkehr
Bedrohungsprotokolle für Erkennungen und Regeltreffer
Exporte oder Integrationen für SIEM-Workflows

Skalierbarkeit und elastische Kapazität

Ein wesentlicher Vorteil cloudbasierter Firewall-Dienste ist die Skalierbarkeit ohne den Versand von Hardware. Die Kapazität kann mit zunehmender Nutzerzahl, Bandbreite oder Nachfrage erweitert werden. Dies zeigt sich üblicherweise auf drei praktische Arten:

Skalierung der Inspektionskapazität mit steigender Nachfrage
Vermeidung von standortspezifischer Geräteauslegung und Aktualisierungszyklen
Unterstützung der schnellen Expansion für New Niederlassungen oder Benutzer

Integration mit modernen Netzwerken

FWaaS ist für die Zusammenarbeit mit Cloud- und Hybridarchitekturen konzipiert, einschließlich SD-WAN- und Cloud-Netzwerkstrukturen. Dadurch werden Reibungsverluste bei der Verkehrsführung an Kontrollpunkten verringert. Dies wird üblicherweise ermöglicht durch:

Integrationen mit SD-WAN- und Cloud-Routing-Mustern
Unterstützung für Cloud-Umgebungen und Multi-Region-Bereitstellungen
Arbeiten mit Identitäts- und Zugriffskontrollen im Kontext von Richtlinien

Vom Anbieter verwaltete Infrastruktur

Viele Cloud-Firewall-Dienstleister betreiben die zugrundeliegende Infrastruktur, einschließlich Updates und Verfügbarkeit. Dies reduziert zwar den Wartungsaufwand, erhöht aber die Abhängigkeit von der Zuverlässigkeit der Lieferanten. Das heisst:

Die Anbieter kümmern sich um das Patchen und die Verfügbarkeit der Plattform.
Schnellerer Zugriff auf New Funktionen und Schutzmaßnahmen
Klare SLAs und Resilienzplanung

Welche Vorteile bietet FWaaS?

FWaaS kann die Betriebskonsistenz verbessern und den Aufwand für die Wartung verteilter Firewalls reduzieren. Als Firewall-Managed-Cloud-Service (FWaaS) verlagert er einen größeren Teil der Plattformarbeit auf den Anbieter, während die Richtlinienkontrolle zentralisiert bleibt. Zu den Vorteilen gehören:

Vereinfachte Bereitstellung und Wartung: Teams können Richtlinien einführen, ohne an jedem Standort Hardware versenden, installieren und austauschen zu müssen. Viele Aktualisierungen und Plattformänderungen werden im Rahmen von Firewall-Managed-Services abgewickelt.
Skalierbarkeit: Die Kapazität kann mit dem Wachstum von Benutzern, Niederlassungen und Netzwerkverkehr erweitert werden, ohne dass die Firewall-Konfiguration jedes Standorts neu gestaltet werden muss.
Sicherheitstransparenz: Zentrale Protokollierung und kontinuierliche Überprüfung verbessern die Überwachung und Untersuchung standortübergreifend und für entfernte Benutzer.
Zentrale Politiksteuerung: Ein einziger Firewall-Management-Dienst verwaltet typischerweise Regeln, Objekte und Ausnahmen global und trägt so dazu bei, Abweichungen von den Richtlinien zu reduzieren.
Überlegungen zum Kostenmodell: FWaaS verlagert die Ausgaben in der Regel von einmaligen Hardwarekäufen hin zu Abonnementpreisen. Dies kann die Vorhersagbarkeit der Budgetplanung verbessern, allerdings sollten die langfristigen Kosten im Hinblick auf den Gerätebesitz und die Bandbreitennutzung bewertet werden.

FWaaS eignet sich in der Regel gut, wenn Organisationen eine einheitliche Durchsetzung über verteilte Benutzer und Zweigstellen hinweg benötigen und zentralisierte Firewall-Management-Dienste wünschen, ohne an jedem Standort vollständige Appliance-Stacks vorhalten zu müssen.

Zu den Hauptkomponenten und Funktionen von SASE gehören Software-Defined WAN (SD-WAN), Cloud Access Security Broker (CASB), Security Web Gateway (SWG), Firewall-as-a-Service (FWaaS) und Zero Trust Network Access (ZTNA).

Welche potenziellen Herausforderungen birgt FWaaS?

FWaaS kann Sicherheitsabläufe vereinfachen, bringt aber auch Kompromisse mit sich, die Sicherheitsverantwortliche beim Vergleich von FWaaS-Anbietern berücksichtigen sollten.

Laufende Abonnementkosten vs. Vorabkosten: Die jährlichen Abonnementgebühren können im Laufe der Zeit die Kosten der Geräte übersteigen.
- Minderung: Modell der Gesamtkosten über 3–5 Jahre, einschließlich Verwaltungsaufwand und Aktualisierungszyklen.
Änderungen bei Migration und Routing: Die Verlagerung des Datenverkehrs zu einem Cloud-Firewall-Dienst kann eine Neugestaltung des ausgehenden Datenverkehrs, der Tunnel und des Zweigroutings erforderlich machen.
- Minderung: Gehen Sie schrittweise vor, je nach Website oder App, überprüfen Sie die Latenz und halten Sie Rollback-Pfade bereit.
Anpassungseinschränkungen (herstellerabhängig): Manche FWaaS-Anbieter bieten weniger Low-Level-Tuning-Optionen als Appliances.
- Minderung: Prüfen Sie frühzeitig die Granularität der Richtlinien, die Protokollierungsdetails und die Regelobjekte.
Internetabhängigkeit und Resilienzplanung: Bei Verbindungsabbrüchen kann die Inspektion beeinträchtigt werden.
- Minderung: Nutzen Sie gegebenenfalls duale ISPs, Failover und lokale Ausfallsicherheit.
Datenschutz und Compliance: Der Datenverkehr kann Infrastrukturen und Regionen von Drittanbietern durchlaufen.
- Minderung: Überprüfen Sie Datenresidenz, Zertifizierungen, Verschlüsselung und Audit-Logs.
Integration mit Altsystemen: Ältere Netzwerke, Proxys oder Identitätsarchitekturen können die Implementierung erschweren.
- Minderung: Testen Sie die Interoperabilität und die Unterstützung der erforderlichen Protokolle.
Zuverlässigkeit des Anbieters / SLAs: Ausfälle, Verzögerungen im Support oder schwache SLAs können zu Sicherheitslücken führen.
- Minderung: Überprüfen Sie die Verfügbarkeitshistorie, die Reaktion auf Störungen und die vertraglichen Service-Level-Agreements (SLAs).
Sichtbarkeit für den ausschließlich auf dem Gelände verlaufenden Ost-West-Verkehr: Eine reine Cloud-Inspektion kann interne Datenflüsse übersehen.
- Minderung: Bei Bedarf kann ein hybrider Ansatz zur internen Segmentierung verwendet werden.

FWaaS vs NGFW

FWaaS und eine Next-Generation-Firewall (NGFW) setzen beide Netzwerksicherheitsrichtlinien durch, unterscheiden sich aber in ihrer Bereitstellung und ihrem Betrieb. FWaaS ist ein Cloud-basiertes Modell, das für verteilte Benutzer und ausgehenden Zweigstellenverkehr optimiert ist. Eine NGFW ist typischerweise eine Appliance oder virtuelle Firewall, die Sie selbst bereitstellen und betreiben (oder über einen verwalteten NGFW-Dienst), die Firewall-Richtlinienregeln für ein- und ausgehenden Datenverkehr unterstützt.

Wichtigste Vergleiche	FWaaS	NGFW
Einsatz	Cloud-Dienst; Datenverkehrswege zu den Präsenzpunkten des Anbieters	Appliance oder virtuelle Instanz im Rechenzentrum, in einer Niederlassung oder in der Cloud
Management	Zentrale Konsole für standort- und benutzerübergreifende Richtlinien	Häufig verteilte Operationen über viele Firewalls (können mit Tools zentralisiert werden).
Skala	Elastische Kapazität; skaliert mit der Nachfrage	Kapazitätsplanung an Hardware-/Instanzgrenzen gebunden
Optimale Umgebungen	Fernarbeit, viele Niederlassungen, multinationale und dezentralisierte Organisationen	Feste Standorte, strikte Anforderungen an die lokale Infrastruktur, spezialisierte Netzwerkdesigns
Latenzüberlegungen	Hängt von der Nähe des PoP und dem Routingpfad ab	Oftmals geringe Latenz für lokalen Datenverkehr; kann die Latenz erhöhen, wenn die Datenübertragung über einen Hub erfolgt.
Steuerung/Anpassung	Variiert je nach Anbieter; kann durch das Servicemodell eingeschränkt sein.	Typischerweise tiefergehende Abstimmungs- und Bereitstellungsflexibilität

Im Hinblick auf Ihre Organisation sollten Sie FWaaS wählen, wenn einheitliche Richtlinien und Skalierbarkeit über verschiedene Standorte hinweg am wichtigsten sind, und NGFW, wenn lokale Kontrolle und maßgeschneiderte Bereitstellung Priorität haben.

FWaaS vs SWG

FWaaS vs sicheres Web-Gateway (SWG) ist ein häufiger Grund zur Verwirrung, da beide in der Cloud arbeiten und den Datenverkehr analysieren, aber unterschiedliche Probleme lösen.

FWaaS setzt die Netzwerk-Firewall-Richtlinie für ein breiteres Spektrum an Datenverkehrstypen durch. Es kann Kontrollen über IP-Adressen und -Bereiche, Ports, Protokolle, Benutzer und Standorte hinweg anwenden und umfasst häufig Layer-7-Kontrollen (Anwendungsschicht), Intrusion Prevention und Protokollierung für Netzwerkverbindungen – nicht nur für das Surfen im Web.
SWG konzentriert sich speziell auf Web-Traffic (HTTP/HTTPS). Es wurde für URL-/Kategoriefilterung, Malware- und Phishing-Schutz, sicheres Surfen und die Durchsetzung webspezifischer Richtlinien für Webobjekte (500+) entwickelt.

Sie ergänzen sich oft. Viele Organisationen betreiben beides als Teil von Sicherheitsdienst-Edge (SSE) oder SASE, damit sie eine einheitliche Richtlinie für den allgemeinen Netzwerkzugriff (FWaaS) und den Schutz des Deep Web für die Browser- und SaaS-Nutzung (SWG und CASB inline) durchsetzen können.

SSE modernisiert Ihre Technologiearchitektur durch die Zusammenführung von Web Proxy (SWG), ZTNA, CASB und DLP in einer einzigen, leistungsstarken und effizienten Lösung.

Welche Rolle spielt FWaaS in SASE?

Secure Access Service Edge (SASE) Verbindet Netzwerk und Sicherheit in einem Cloud-basierten Modell und hilft Unternehmen dabei, einheitlichen Zugriff, Datenschutz und Bedrohungsschutz zu gewährleisten, wenn sich Benutzer von Filialen, von zu Hause oder mobil verbinden.

In einer Secure Access Service Edge (SASE)-Architektur stellt Firewall-as-a-Service (FWaaS) die Firewall-Funktion als Cloud-basierten Dienst bereit und ermöglicht es Unternehmen, Netzwerksicherheitsrichtlinien einheitlich über alle Benutzer und Standorte hinweg durchzusetzen, ohne auf physische Geräte in Zweigstellen oder Heimnetzwerken angewiesen zu sein. Da SASE Netzwerk und Sicherheit in einem einheitlichen, Cloud-basierten Framework vereint, arbeitet FWaaS mit Komponenten wie SD-WAN und anderen Cloud-Sicherheitsdiensten zusammen, darunter Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) und Zero Trust Network Access (ZTNA), um einen umfassenden Schutz für Web-, Cloud- und private Anwendungen zu gewährleisten. Seine Hauptaufgabe besteht darin, eine zentrale Richtlinienverwaltung, einheitliche Kontrollen und vollständige Transparenz über den gesamten Cloud-Sicherheits-Stack hinweg zu gewährleisten, damit die Benutzer unabhängig von ihrem Verbindungsort das gleiche Sicherheitsniveau erleben.

Wie geht Netskope bei der Implementierung von FWaaS-Lösungen vor?

FWaaS ist eine Schlüssellösung zur Aktivierung zusätzlicher Sicherheitsvorkehrungen für Nicht-Web-Datenverkehr. Remote-Benutzer und Zweigstellen profitieren von FWaaS-Netzwerk-Ausgangsverkehrskontrollen sowie einem Web-Proxy zur Überprüfung webbasierter Daten, SaaS-Anwendungen und generativer KI. Auf der Grundlage von FWaaS kann ein Intrusion Prevention System (IPS) hinzugefügt werden, außerdem DNS-Sicherheitsprüfungen, DNS-Domänenkategorienfilterung, ein SOCKS-Proxy für den Datenverkehr auf Standard- und Nicht-Standard-Ports (z. B. FTP, SFTP, FTPS, Telent usw.) sowie die Konfiguration von Inline-Abwehrmechanismen zur Verhinderung von Datenverlust (DLP) und Bedrohungsschutz. Erfahren Sie mehr über FWaaS.

Frequently asked questions

Was ist eine Firewall?

Eine Firewall ist eine Sicherheitskontrolle, die den Netzwerkverkehr überwacht und Regeln darüber durchsetzt, welche Geräte Verbindungen herstellen dürfen. Es entscheidet anhand von Signalen wie IPs, Ports, Protokollen, Benutzern und Anwendungen, ob Datenverkehr zugelassen, blockiert oder protokolliert wird. Moderne Firewalls beinhalten oft eine tiefergehende Paketprüfung, um Bedrohungen zu erkennen und Anwendungen zu identifizieren, und beschränken sich nicht nur auf einfache Zulassungs-/Verweigerungsregeln.

Was ist eine Cloud-Firewall?

Eine Cloud-Firewall ist ein Firewall-Schutz, der über eine Cloud-Infrastruktur anstatt über ein physisches Gerät in einem Rechenzentrum bereitgestellt wird. Es kann Richtlinien für Benutzer, Niederlassungen und Cloud-Workloads durchsetzen, selbst wenn der Datenverkehr nicht über eine zentrale Stelle läuft. Viele Cloud-Firewall-Dienste beinhalten Next-Generation-Firewall-Funktionen (NGFW) wie Anwendungserkennung, Bedrohungsabwehr und Protokollierung. Firewall-as-a-Service (FWaaS) ist eine spezifischere Version einer Cloud-Firewall und konzentriert sich auf den ausgehenden Datenverkehr von Remote-Benutzern und Zweigstellen. Sie ist oft Teil einer Security Service Edge (SSE)-Plattform, die mit SWG-, CASB- und ZTNA-Lösungen für die einmalige Überprüfung des Datenverkehrs kombiniert wird.

Wo ist FWaaS im Netzwerk angesiedelt?

FWaaS befindet sich im Cloud-Pfad, wo ausgehender Datenverkehr zur Überprüfung umgeleitet werden kann. Organisationen leiten den Datenverkehr von Benutzern, Niederlassungen oder Cloud-Netzwerken typischerweise über Tunneling, SD-WAN-Integration, Cloud-Routing oder agentenbasierte Weiterleitung zum Cloud-Firewall-Dienst. Von dort aus wendet FWaaS Richtlinien an, prüft den ausgehenden Datenverkehr und leitet zugelassene Sitzungen an ihr Ziel weiter, während die Ergebnisse protokolliert werden.

Kann FWaaS VPN oder SD-WAN ersetzen?

Zero Trust Network Access (ZTNA) ist die bevorzugte Lösung zur Ablösung von VPNs. ZTNA verfolgt einen Inside-Out-Ansatz, um Identität und Zugriff zu sichern, indem es exponierte öffentliche VPN-Dienste entfernt und die laterale Bewegung reduziert. Unternehmensbrowser gewinnen auch für nicht verwaltete Geräte an Bedeutung, die von Auftragnehmern oder Dritten für den Zugriff auf Unternehmensressourcen verwendet werden, sowie für den ZTNA-Browserzugriff auf private Anwendungen.

Daher ist FWaaS kein direkter Ersatz für VPNs. FWaaS kann dazu beitragen, den Datenverkehr für SD-WANs effizienter zu leiten und die Firewall-Regeln für den Netzwerkverkehr konsistent durchzusetzen.

Was ist bei der Auswahl von FWaaS zu beachten?

Teams bewerten FWaaS typischerweise anhand von Benutzererfahrung, Leistung, Eignung, Abdeckung und betrieblichen Gegebenheiten. Ziel ist ein durchgängiger Schutz, ein optimales Benutzererlebnis und das alles ohne Komplexität beim Routing oder Lücken in der Sichtbarkeit zu schaffen.

Wichtige Überlegungen sind:

Remote-Benutzererfahrung: Eine leistungsstarke UX als Teil einer SASE-Plattform
Verkehrslage: Benutzer, Filialen und entfernte Standorte
Inspektionstiefe: 5-Tupel-Firewallregeln, Paketprüfung, IPS, DNS-Sicherheitsprüfungen und DNS-URL-Kontrollen für Domänennamen sowie Anwendungskontrollrichtlinien der Schicht 7
Politikmodell: Einfache Erstellung von Regeln, Ausnahmen und Segmentierung nach Benutzer/App/Kontext
Protokollierung und Sichtbarkeit: Detailgrad, Aufbewahrung, Export und SIEM-Integration
Leistungsfähigkeit und Widerstandsfähigkeit: Routing-Optionen, Failover, POP-Abdeckung und SLAs
Integration: Identitätsanbieter, SD-WAN, Cloud-Routing und bestehende Sicherheitsarchitektur
Betriebskosten: Wer verwaltet Updates, Optimierungen und Änderungskontrolle?

Für Organisationen, die SSE/SASE-Architekturen verwenden, ist Netskope typischerweise in der Lage, konsistente Kontrollen für den Zugriff auf Web-, Cloud- und private Anwendungen mithilfe zentralisierter Richtlinien und Transparenz mit einmaliger Prüfung anzuwenden.